数字化安全性范文

数字化安全性范文（精选11篇）

数字化安全性 第1篇

随着网络应用系统的增加, 病毒与黑客攻击日益增多, 攻击手段也千变万化, 网络系统内部发起的攻击及病毒传播是影响整体校园网不稳定主要因素之一, 来自系统应用层的潜在威胁也加重了网络系统的隐患。主要体现在以下几个方面:

(1) 全网易受入侵

主要有两种攻击, 一是病毒攻击:计算机病毒一直是计算机安全的主要威胁, 在Internet上, 极会传播新的病毒, 病毒的种类和传染方式也在增加, 现在, 其种类已达上万。二是黑客攻击:黑客的攻击是无时无刻不在进行的, 他们利用系统和管理上的漏洞, 进行信息的窃取, 篡改, 或者对网络本身进行攻击。

(2) 公开服务器系统不安全

服务器本身不能保证没有漏洞, CGI程序也不能保证绝对正确, 不法分子可能利用服务的漏洞修改页面甚至破坏服务器。系统中的BUG, 使得黑客可以远程对公开服务器发出指令, 从而导致对系统进行修改和损坏, 包括无限制地向服务器发出大量指令, 以致于服务器“拒绝服务”, 最终引起整个系统的崩溃。

(3) 数据易损

由于目前尚无安全的数据库及个人终端安全保护措施, 所以还不能抵御来自网络上的各种病毒和对数据库及个人终端的攻击;同时一旦不法分子针对网上传输数据作出伪造、删除、窃取、窜改等攻击, 都将造成十分严重的影响和损失。

(4) 操作系统缺乏可靠性

无论是AIX、UNIX或者WINDOWS NT, 其开发商必然有Backdoor。除非保证有自己专用的操作系统。

(5) 物理上的风险

一是设备故障和线路故障;二是关键设备和系统是否防辐射, 防电磁干扰, 是否以进行必要的隔离;三是保安问题, 防火, 防盗的工作是否细致, 硬件设备是否安全等。

(6) 对业务主机系统的非授权访问

有些信息需经授权才能访问, 由于缺乏安全措施, 可能会有非法用户在没有经过允许下直接访问网络资源, 造成一些机密信息泄露出去, 造成不必要的损失和不良社会影响。

(7) 不满的内部人员

不满人员可以传出至关重要的信息、泄露安全重要信息、错误地进入数据库删除数据等。

因此网络安全是不能忽视且极其重要的。

2 核心汇聚嵌入式安全

面对现在网络环境越来越多的网络病毒和攻击威胁, 要求操作系统提供强大的网络病毒和攻击防护能力。

对于局域网中, 建议如下部署:在核心汇聚部署支持防源IP地址欺骗 (Souce IP Spoofing) 、防DOS/DDOS攻击 (Synflood, Smurf) , 防扫描 (PingSweep) 等能力。

2.1 防扫描攻击

众所周知, 许多黑客攻击、网络病毒入侵都是从扫描网络内活动的主机开始的, 大量的扫描报文也急剧占用网络带宽, 导致正常的网络通讯无法进行。为此, 要求三层交换机提供了防扫描的功能, 用以防止黑客扫描和类似“冲击波病毒”的攻击, 并能减少三层交换机的CPU负担。

目前发现的扫描攻击有两种:

1) 目的IP地址变化的扫描, 我们称为“scan dest ip attack”。这种扫描是最危害网络的, 不但消耗网络带宽, 增加交换机的负担, 更是大部分黑客攻击手段的起手。

2) 目的IP地址不存在, 却不断的发送大量报文, 我们称为“认证系统e dest ip attack”。这种攻击主要是针对减少交换机CPU的负担来设计。对三层交换机来说, 如果目的IP地址存在, 则报文的转发会通过交换芯片直接转发, 不会占用交换机CPU的资源, 而如果目的IP不存在, 交换机CPU会定时的尝试连接, 而如果大量的这种攻击存在, 也会消耗着CPU资源。当然, 这种攻击的危害比第一种小得多了。

以上这两种攻击, 我们交换机都可以在每个接口上调整相应的攻击阀值、攻击主机隔离的时间等参数, 以便管理员最细化的管理配置。

2.2 防DOS/DDOS攻击

近年来, 各种DoS攻击 (Denial of Service, 拒绝服务) 报文在互联网上传播, 给互联网用户带来很大烦恼。DoS的攻击方式有很多种, 最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源, 从而使合法用户无法得到服务的响应。攻击报文主要采用伪装源IP以防暴露其踪迹。

针对这种情况, 在网络接入处设置入口过滤 (IngressFilting) , 来限制伪装源IP的报文进入网络。这种方法更注重在攻击的早期和从整体上防止DoS的发生, 因而具有较好效果。使用这种过滤也能够帮助ISP和网管来准确定位使用真实有效的源IP的攻击者。ISP应该也必须采用此功能防止报文攻击进入Internet;企业 (校园网) 的网管应该执行过滤来确保企业网不会成为此类攻击的发源地。

交换机采用基于RFC2827的入口过滤规则来防止DoS攻击, 这种过滤是通过自动生成特定的ACL来实现, 该过滤采用硬件实现而不会给网络转发增加负担。

3 接入安全控制

在接入部署ACL, 对冲击波、蠕虫等病毒进行防范已经生成数BPDU攻击、MAC攻击等二层攻击, 使有害数据包在接入就被过滤。要求接入交换机具备完善的QoS以及强大的安全接入控制能力。具体要求如下:

(1) 二至四层线速转发, 二至七层智能识别:硬件全线速实现路由、ACL、QOS、带宽限制, 全面提升用户体验;

(2) 硬件实现端口与MAC地址和用户IP地址的绑定:不需要第三方设备或软件, 仅通过设定访问交换机上某个端口的用户MAC地址和IP, 就可硬件实现严格控制对该端口的用户输入, 有效防止非法用户的接入。

(3) 有效杜绝非法组播源:支持IGMP源端口检查功能, 以及支持IGMP源IP检查功能, 有效地杜绝非法的组播源播放非法的组播信息, 更好地提高了网络的安全性。

(4) 极灵活的基于流的带宽控制能力:具备MAC流、IP流、应用流等多层流分类和流控制能力, 实现灵活精细的带宽控制、转发优先级等多种流策略, 带宽限制粒度达64Kbps, 支持网络根据不同的业务、以及不同业务所需要的服务质量特性, 提供差异化服务

(5) 完善的QoS:以DiffServ标准为核心的QoS保障系统, 支持802.1P、IP TOS、二到七层流过滤、SP、WRR等完整的QoS策略, 实现基于全网系统多业务的QoS逻辑;

(6) 强大的安全接入控制能力:硬件本身即可实现端口与MAC地址和用户IP地址的绑定, 另外和配合宽带认证计费管理系统可实现用户帐号与IP、MAC、交换机IP、端口、Vlan ID多元素的复合绑定。保证用户身份的合法性和唯一性, 可以有效的避免IP地址冲突、帐号盗用等问题发生。

(7) 通过PVLAN即可隔离用户信息互通:采用保护端口 (即将该端口设为保护端口) 实现端口之间相互隔离, 不必占用VLAN资源。采用保护端口即保证用户信息安全, 又节约VLAN资源, 同时不必再修改VLAN配置, 大大提高维护效率。

(8) 多端口同步监控MSPAN:通过一个端口可同时监控多个端口的数据流, 可以只监控输入帧或只监控输出帧或双向帧, 有效提高监测效率。

3.1 IP+MAC+端口绑定

学生宿舍区的用户上网的安全性非常重要, 要求接入交换机可以实现端口+IP+MAC地址的绑定关系, 可以支持基于MAC地址的802.1X认证, 整机最多支持1K个下挂用户的认证。MAC地址的绑定可以直接实现用户对于边缘用户的管理, 提高整个网络的安全性、可维护性。

3.2 防止病毒广播泛洪

要求接入交换机可实现广播报文的计数累计功能, 往往一台主机受病毒时会发出大量的广播报文, 交换机可实现对与进入报文的计数累计, 广播病毒一般会在短时间内产生大量的广播包, 通过可设置广播包的阀值, 当达到一定的广播保文的数量时端口可是直接关闭, 确保网络的安全、稳定。

4 网络安全解决方案

4.1 入网用户身份认证

基于802.1X的扩展的认证计费系统在用户第一次上网就必须认证, 保证了用户上网的安全和合法性。

4.2 防止对DHCP服务器攻击

使用DHCP Server动态分配IP地址会存在两个问题:一是DHCP Server假冒, 用户将自己的计算机设置成DHCP Server后会分发非法地址给终端用户, 造成用户无法使用网络, ;二是用户DHCP Smurf, 用户使用软件变换自己的MAC地址, 大量申请IP地址, 很快将DHCP的地址池耗光。对于第一种情况, 使用接入交换机的访问列表就可以实现防范:

在安全接入交换机上定义一个访问列表, 该访问列表允许目的IP地址为合法DHCP服务器。同时再定义一个访问列表, 拒绝source port为67而destination port为68的UDP报文通过, 并运用在下联端口。

对于第二种情况, 开启接入交换机的端口安全功能就可以实现防范。在接入交换机设置端口安全, 可以根据网络的实际情况设置, 设置某个端口下学习源MAC的个数, 一旦学习到的源MAC地址大于设置值, 那么数据帧就会在端口丢弃, 同时发送警告信息通知网管员, 或是逻辑上关闭该端口。

而对于用户手工设置静态IP地址, 造成和已分发的动态IP地址冲突, 可以通过认证系统指定用户只能采用DHCP获取IP。

4.3 多元素绑定技术构筑高安全校园网

IP地址、MAC地址、接入交换机端口、以及接入交换机IP、身份信息、是标识网络用户的基本元素, 而单一的元素无法为管理员来标识一个用户, 而网络安全被利用最多还是MAC、IP地址等。

(1) MAC地址欺骗

将合法的MAC地址修改成不存在的MAC地址或其他人的MAC地址, 从而达到隐藏自己真实的MAC, 来达到一些不可告人的目的, 这就是MAC地址欺骗。

(2) MAC地址泛洪攻击交换机

由于交换机内部的MAC地址表空间是有限的, 正常情况下, 这些MAC地址表是足够用的, 一般情况下, 基本不会发生MAC地址表被占满的情况。但如果有人恶意对这台交换机进行MAC地址泛洪攻击的话, 则会很快占满交换机内部MAC地址表, 使得交换机本来是按单播进行转发数据包的, 但由于MAC地址表已经被占满了, 所有的交换机的端口都在一个广播域里了, 因此交换机转发数据包的机制变成了广播了。因此交换机变成了一个Hub, 因此别的端口可以收到所有的其他端口的数据, 因此用户的信息传输也没有安全保障了。

(3) IP地址随意更改

手工更改用户自己的IP地址, 这使得原本分到该IP地址的合法用户无法正常上网, 同时也将导致整个网络的IP地址管理混乱。非法用户向被攻击的主机发出大量的攻击包, 同时将报文中的源IP地址进行修改以掩藏自己真实的IP, 这样就可以逃避网管的追查。

因此根据以上安全的情况, 建议可采用认证系统的绑定功能, 对宿舍网用户进行管理。通过认证系统 (AAA) 服务器绑定每一个用户的元素信息, 当用户认证时, 802.1X客户端将所需要的元素信息传送到认证系统服务器, 认证系统会将所传送的信息和数据库做一一的匹配, 如果有任一元素不符合认证系统所定义, 那么将视此用户为非合法用户, 认证系统将不允许此用户认证通过, 并反馈通知用户绑定错误相关信息。如果用户认证通过后修改地址, 那么客户端也会检测到并发送到认证系统服务器, 同时认证系统服务器会将此用户剔除下线。

4.4 防止用户私设代理服务器

用户自行架设代理服务器以及用户认证后再自行拨号上网, 这是网络安全最大的两个隐患。交换机提供代理服务器屏蔽和拨号屏蔽功能。实现该功能交换机端不需任何设置。只需在认证系统服务器端配置相应的属性。

4.5 日志审计

日志数据详实地记录了系统和网络的运行事件, 是安全审计的重要数据。这些日志信息对于记录、检测、分析、识别各种安全事件和威胁有非常重要的作用, 也是对当前网络安全情况进行评估的主要数据源。

要对各类系统产生的安全日志实现全面、有效的综合分析, 就必须为网络安全管理员建立一个能够集中收集、管理、分析各种日志的安全审计管理中心, 使网络管理员不用像以前那样从庞杂的日志信息中手工搜寻网络行为, 为管理员提供一个方便、高效、直观的审计平台, 大大提高安全管理员的工作效率和质量, 更加有效地保障网络的安全运行。

5 结束语

随着数字化校园的到来, 内部网络为广大师生带来无比便利的工作学习环境, 其安全性的保障绝不能忽视。安全隐患来自于复杂的环境, 要从各方面考虑来排除威胁。

参考文献

[1]胡道元, 闵京华.网络安全 (第2版) [M].清华大学出版社, 2008.

[2]陈志德, 许力.网络安全原理与应用[M].电子工业出版社, 2012.

如何加强数字化校园信息安全 第2篇

关键词 数字化校园 信息安全 校园管理

中图分类号：G64 文献标识码：A

0引言

随着院校数字校园建设的推进和信息系统的广泛应用，我们可以使用便利的办公自动化和丰富的资源交流，同时也产生了网络信息安全的问题。网络信息安全已经上升为焦点问题，成为国家与国防安全的重要组成部分。建立一个安全的网络环境，对入侵攻击的检测与防范、保障计算机系统、网络系统及整个信息基础设施的安全已刻不容缓。

1数字化校园信息安全现状

影响院校校园网信息安全的因素很多，既有校园网系统本身的脆弱性，也有管理防范和人为因素，以及来自外部的攻击。总的来说包括以下几种：

（1）系统的配置不当

校园网中计算机系统管理比较复杂：学员使用的电脑一般是自己购买的，教员使用的电脑有统一采购的，也有自己购买的。在这种情况下就无法要求所有的终端使用统一的安全政策。而且有的用户安全意识不强，在系统安全设置时没有遵守安全原则，用户名和口令过于简单，疏于系统的防护升级，病毒库常年不更新甚至不装杀毒软件等。

（2）软件漏洞

公用的系统软件都是存在缺陷和漏洞的，这给攻击者提供了攻击的入口。而且虽然军网与因特网是物理隔绝的，但是由于我们也采用了通用网络技术，如TCP/IP协议，这就使我们的军网和因特网一样存在着安全隐患。

（3）校园网用户的规模大且活跃

用户接入点数量大，使用率高，有的学员对网络新技术充满好奇，勇于尝试各种技术，就有可能造成病毒泛滥、信息丢失、系统瘫痪的严重后果。

2数字化校园信息安全防控体系

信息安全既有技术方面的问题，也有管理方面的问题。数字化校园信息安全防控体系通过多种安全防范技术和措施的综合运用，在网络中的各个环节都采取安全防范措施，实现数字化校园信息安全防控。

2.1物理实体的安全防控

物理实体指的网络服务器、通信线路等网络设备。在硬件上，应严格按照国家统一标准建设服务器机房，同时配备防火、防水、防雷、防震、防盗、防磁等设备。定期检修、维护计算机及网络设备，建立维护日志管理系统，指派专人负责主要的服务器及网络设备，对突发安全事故处理有应急预案，发生故障能确保及时修复，力求所有设备处于最佳运行状态。在管理上，要健全安全管理体制，强化使用人员和管理人员的安全防范意识，不断加强校园机信息网络的安全规范化管理力度，把不安全的因素降到最低。

2.2信息安全的隔离防控

信息安全隔离防控措施具体如下：

（1）路由器。处于网络架构的第一层，是黑客攻击的首要目标。所以，路由器必须设置一定的过滤规则，用以滤掉被屏蔽的1P地址及服务。

（2）防火墙。是一种由计算机硬件和软件组成的一个或一组系统，用于限制被保护校园网内部网络与外部网络之间进行信息存取、传递操作，防止“黑客”进入。它处在内部网络与外部网络之间，根据连接网络的数据包来进行监控，掌管系统的各端口，对其进行身份核实，限制外部用户进入内部网，同时过滤掉危及网络的不安全服务，拒绝非法用户的进入。

（3）IDS（入侵检测系统）。是防火墙之后的第二道安全闸门，通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象。它安装在计算机网络的关键部位，能在不影响网络性能的情况下监测网络上所有的包，用来实时监测网络和信息系统访问的异常行为，能识别防火墙不能识别的攻击（如来自内部网络的攻击），从而提供对内部攻击、外部攻击和误操作的实时保护。

（4）网闸。是一种带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能在网络间进行安全适度的应用数据交换的网络安全设备。当内部网络对外网访问的需求影响内部网络系统的安全性及可用性时，网闸能够阻断内外网络的物理连接，防止外部攻击，保护内部网络，提供比防火墙、入侵检测等技术更好的安全性能。

（5）访问控制。是信息安全防控的核心策略之一，主要任务是保证网络资源不被非法使用和非常访问，访问控制技术主要包括入网访问控制、网络的权限控制、根据网络安全的等级，网络空间的环境不同，可灵活地设置访问控制的种类和数量。传统的访问控制策略包括自主访问和强制访问，为考虑信息安全和传输流，目前采用的是基于对象和任务的访问控制。

3网络终端的安全防控

对于网络终端的计算机，首先要确保操作系统的安全，及时扫描修复系统漏洞，其次要安装防火墙和杀毒软件，及时更新病毒库，实时过滤可疑文件。另外可以使用信息加密技术对文件进行加密处理，如水印系统。还可以使用虚拟机技术，虚拟网络环境。

4结论

院校数字化校园的发展及应用，满足了大家对信息的共享、交流与获取需要，也带来了网络信息安全的问题。本文构建了一套信息安全防控体系，全方位，多角度地实时防控，确保数字化校园的信息安全。但网络技术在不断发展，新的安全漏洞、黑客的攻击手法也不断变化，因此网络安全防控也应动态变化，充分应用各种技术手段，确保网络系统安全。

参考文献

[1] 熊晨潞.计算机信息安全与防范措施的认识[J].华章，2008（18）.

[2] 吴建军.2010年计算机信息安全前瞻[J].科技传媒，2010（9）.

[3] 苏姗娜.浅谈计算机信息安全[J].电工理工，2008（1）.

数字化安全性 第3篇

关键词：教务管理,系统,安全,设计

0 引言

随着高等教育由“精英教育”向“大众化教育”的发展，高等院校的在校生人数快速增长，少则几千人，多则几万人，传统的教务管理模式往往是“事倍功半”，已不能符合现代化教学管理需求。近年来，随着网络技术的不断发展，绝大多数高等院校依托校园网络建立起了基于数字化校园的教务管理平台，在学籍管理、师资管理、排课管理、教学计划管理、考试管理、成绩管理、毕业生管理、教学质量评价等方面实施了数字化、网络化、信息化、自动化及人性化管理，极大的方便了教学管理人员和广大师生，达到了“事半功倍”的效果。

然而，随着网络技术的不断普及，越来越多的“黑客”不断地利用早已泛滥而现成的黑客工具破坏网络的安全和稳定，服务器被恶意攻击、入侵，服务网络被恶性堵塞、口令账户失窃导致的成绩篡改等种种恶性事件不断出现，甚至形成一条黑色产业链[1]。高校教务管理系统包含大量重要数据且由于用户类别复杂，人数多、使用范围广等，面临着更为严峻的安全挑战。

1 教务管理系统的安全隐患

1.1 网络安全隐患

网络安全包括校园网和外部网两方面的安全，外部网的用户可以随意访问校园网的资源，因此系统容易受到来自外界的各种攻击和威胁。来自网络的安全威胁主要包括：非授权访问、破坏数据的完整性、利用网络协议和系统的漏洞对系统进行攻击、干扰系统的正常运行甚至使系统完全瘫痪[2]。

1.2 数据安全隐患

教务管理系统的数据因为包括学籍、成绩、毕业生等重要信息，安全性尤为重要，一旦数据遗失或被篡改，后果非常严重。现今各类非法入浸软件和计算机病毒泛滥，高校教务管理信息数据被恶性修改或删除时有发生，对教务管理系统数据的传送和存储的安全性构成了严重威胁。

1.3 用户安全隐患

教务系统涉及各层次，不同身份，不同权限的用户，通过系统管理员授予权限进行相应操作。经常发生这样事件：用户密码简单、帐号或密码泄露、没有安全退出应用系统等，都将直接影响到系统及数据的安全[3]。

1.4 系统安全隐患

教务管理系统一般都采用三层架构设计，即客户端、应用服务器、数据库服务器。服务器上操作系统、数据库软件及其它应用软件的选择及维护至关重要，若选择不完善的、不成熟的、易受攻击的软件或不能及时维护更新应用程序，都将给别有用心的人留下进入系统进行非法操作的空间，造成难以估量的损失。

1.5 管理制度隐患

责权不明、管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险，使得非管理人员随意进入网络机房重地，或者管理员有意无意泄漏他们所知道的一些重要信息，而管理上却没有相应制度来约束。

2 教务管理系统的安全方案

本文针对上述的安全隐患，通过网络、系统、用户、数据四个方面对系统进行了安全性设计并提出了制度保障安全的措施。

2.1 网络安全

网络安全指保护网络系统的硬件、软件及其数据不受偶然的或者恶意的原因所导致破坏、更改、泄露，使系统连续可靠正常地运行。本文采用以下几方面来加强网络安全：

(1)配置物理防火墙。由于学生和教师一般使用的WEB端与Internet网络相连，给系统的安全带来了极大的威胁，通过设置物理防火墙将系统内部网络与外部网络隔离，避免系统内部不受外部的恶意攻击。(2)组建虚拟局域网。组建教务管理虚拟局域网，各类教务管理活动在虚拟局域网连接，虚拟局域网通过防火墙与校园网络相连。(3)建立路由器访问列表。建立访问列表，并将将访问列表应用到路由器的入口，对提出访问的数据包进行分析，检查数据包的源地址，如果访问列表允许该地址，继续处理数据包，否则放弃数据包并生成报文。(4)网络监视器。利用网络监视器细致的监视一个数据包的具体内容，以供管理员详细了解服务器的数据流动清况、查看网络故障、检测黑客攻击。(5)配置入侵检测系统。配置入侵检测系统，以对系统资源进行实时检测，及时发现闯入系统的入侵者，也可预防合法用户对资源的误操作[4]，通过对系统或网络日志分析，获得系统或网络目前的安全状况，发现可疑或非法的行为。(6)关闭不必要的端口。为了防止黑客攻击，关闭不必要的协议和端口，设法堵住系统的缺口，让黑客无处下手。

2.2 系统安全

系统安全就是要防止病毒对于网络的威胁和黑客对于网络的破坏和侵入，保障系统安全稳定的运行。

2.2.1 系统风险评估

用风险评估的方法找出哪些软件是不应该安装的，哪些软件是应该限制其用户使用权限的。并利用风险评估预期产生的后果严重性，去除可能带来风险度高的软件或修改软件的使用权限[5]。

2.2.2 软件优化

软件的漏洞是不可避免的，装载的软件越多，系统的漏洞就越多，所以对功能性相似的软件进行比较，挑选一个最优化的软件，去除其余软件，并对各类软件，特别是操作系统及时升级、打补丁，以保证软件的安全性最高。

2.2.3 关闭不必要的服务

系统提供了大量的服务，有些服务是必要的，有些服务是不必要的，不必要的服务开启会给系统带来无法预料的危害，所以应关闭不必要的服务。关闭不必要的服务需记录后关闭，并通过访问注册表将其服务名删除。

2.2.4 加强系统账户管理

对系统的账户进行详细的设置，去除可以公众享用的账户，对系统账户的使用权限进行详细设置，避免出现超权用户。虽然系统管理员账户可以为多个超级用户使用，但为了方便系统操作的跟踪，本系统对每个用户设立一个账户，这样也可以避免系统密码丢失后重装系统。

2.2.5 设置强壮密码

系统用户，尤其是拥有最高权限的用户密码必须设置成比较强壮的，使得对密码蛮力攻击和猜测难以实现。密码硬由大小写字母、数字及各类特殊符号组成，密码不仅凭个人记忆，并书写存放在可靠的地方。

2.2.6 系统的选择

由于教务管理系统的数据的是学校教学管理的重要依据，一旦数据出现问题，后果是相当严重的，所有必须安全性较高选择操作系统和数据库系统来运行教学管理系统。

2.2.7 使用杀毒软件

网络病毒层出不穷，对系统的安全构成了巨大的威胁，造成的后果是难以预料的，所以必须安装正版的网络杀毒软件，对系统进行实时监控和定时扫描，把病毒及时消灭，避免造成系统的瘫痪。

2.3 用户安全

教务管理系统是基于Web开放式应用系统，它涉及到用户安全管理的问题很多，包括如何对上网操作用户进行身份鉴别，并确定其操作的权限；如何跟踪用户操作过程，以便当同一用户在不同的计算机上登录、或者不同的用户在同一计算机上登录、或者同一用户在不同的时间段内多次从同一计算机登录时，系统如何处理等。本文从以下几个方面加强用户安全：

2.3.1 基于角色的访问控制

采用基于角色的访问控制模型，用户登陆系统，系统对用户的角色进行判定，判定角色后，用户就拥有该角色的所有权限。

2.3.2 用户密码管理

用户的初始密码是由系统产生的，系统一般采用用户名、身份证号码片段等生成用户的初始密码，这样虽然管理上比较方便，但是因为密码是非常弱，很容易被其他人猜到，对用户来说是不安全的。系统设计产生用户初始密码应是随机生成。

2.3.3 采用基于Session和Cookie的设计

基于Session和Cookie的用户安全设计可以有多种考虑方案：一种是每个客户机对应一个用户，用户在操作数据时，其所有相关信息都被转化成字符串数据而记录在客户端的Cookie中，用户只要没有退出系统，下次进人系统时仍然可以继续上一次的操作过程；另一种是一个客户机可以对应多个用户，Cookie仅用来跟踪会话的Session ID，所有操作状态数据记录在服务器的内存中;第三种是一个客户机对应一个用户，Cookie也仅仅用来跟踪会话ID，会话状态数据记录在服务器的数据库中。本文考虑数据记录在数据库中比较安全这一情况，采用第三种设计方案。在设计时，采用两个数据表对象来记录用户会话信息，其中一个对象用来记录会话Session ID，另一个对象用来存储有关具休会话状态信息。这样，当某一用户操作相关数据时，其操作过程和操作状态被完整的保存下来，系统管理员或数据安全管理员，通过利用这两个表中的相关数据，来了解或防范有关用户对数据的操作，达到数据安全访问的目的[6]。

2.4 数据安全

数据的安全包括数据的传输安全和存储安全。(1)数据传输安全。在校园网采用MD5和DES加密算法对数据进行加密后传输，具体为使用MD5和DES加密算法加法用户登陆信息，登陆成功后使用DES密钥加密数据。在外网使用安全套接层协议（SSL）来加密两端传输的协议，并使用数字签名来识别用户身份[7]。(2)数据存储安全。选用两台专业级服务器做为数据库服务器，采用Raid5磁盘架构存储数据并实现双机容错管理。(3)数据备份安全。对数据库每天多时段进行全部多点备份和异地备份，并定期运用多种介质对数据进行存档。

2.5 制度保障安全

安全问题是“三分技术，七分人为”造成的，人为因素主要是用户不熟悉系统使用规范错误操作造成的，所以必须建立并完善系统使用制度规范用户操作。(1)制度化管理。制定并完善一系列教务管理系统使用规定和保密制度，规范用户的使用方式、使用途径、使用范围等，加强保密意识。(2)用户培训。对使用系统的管理人员、教师、学生进行培训并考核，考核合格后才允许其使用系统，将考核结果纳入角色升级条件；编印各类用户级别的操作规范手册，详细描写操作流程方法和容易出现的误操作，发放给用户，使其可以了解并规范操作行为。(3)系统管理员培训。定期对系统管理员进行培训，使其熟悉教务工作的各个环节，熟练掌握教务管理系统的各个功能和安全操作要求，增强其责任感；系统管理员由专人担任，不能频繁更换，应长时间固定。

3 结语

教务管理系统的安全是一个系统性、综合性的问题,其涉及的范围很广。任何安全措施都是相对的,而且入侵者的手段也在不断提高[8]。因此，系统管理员应不断学习新的安全技术，提高业务水平，改进教务管理系统的安全性。

参考文献

[1]欧阳汉斌,王志远,王明炎,刘哲星,黄文化.高校教务管理系统安全问题分析及对策[J].山东师范大学学报,2006,23(2):22-24.

[2]妞炎,邓华.高校教务管理系统的安全设计研究[J].湖北工业大学学报,2009,24(5):53-56.

[3]李虞斌.教务管理系统安全维护策略初探[J].科技信息,2008,(36):52.

[4]胡华平,陈海涛,黄辰林,唐勇.入侵检测系统研究现状及发展趋势[J].计算机工程与科学,2001,23(2):20-25.

[5]http://wenku.baidu.com/view/5387a4e79b89680203d8251a.html.

[6]http://hi.baidu.com/hkxdw/blog/item/29cc2a0a326d93dd63d9863b.html.

[7]http://www.webyixing.cn/online/Html/?67544.html.

如何加强数字化校园信息安全的论文 第4篇

(1)系统的配置不当

校园网中计算机系统管理比较复杂：学员使用的电脑一般是自己购买的，教员使用的电脑有统一采购的，也有自己购买的。在这种情况下就无法要求所有的终端使用统一的安全政策。而且有的用户安全意识不强，在系统安全设置时没有遵守安全原则，用户名和口令过于简单，疏于系统的防护升级，病毒库常年不更新甚至不装杀毒软件等。

(2)软件漏洞

公用的系统软件都是存在缺陷和漏洞的，这给攻击者提供了攻击的.入口。而且虽然军网与因特网是物理隔绝的，但是由于我们也采用了通用网络技术，如TCP/IP协议，这就使我们的军网和因特网一样存在着安全隐患。

(3)校园网用户的规模大且活跃

用户接入点数量大，使用率高，有的学员对网络新技术充满好奇，勇于尝试各种技术，就有可能造成病毒泛滥、信息丢失、系统瘫痪的严重后果。

2数字化校园信息安全防控体系

信息安全既有技术方面的问题，也有管理方面的问题。数字化校园信息安全防控体系通过多种安全防范技术和措施的综合运用，在网络中的各个环节都采取安全防范措施，实现数字化校园信息安全防控。

2.1物理实体的安全防控

物理实体指的网络服务器、通信线路等网络设备。在硬件上，应严格按照国家统一标准建设服务器机房，同时配备防火、防水、防雷、防震、防盗、防磁等设备。定期检修、维护计算机及网络设备，建立维护日志管理系统，指派专人负责主要的服务器及网络设备，对突发安全事故处理有应急预案，发生故障能确保及时修复，力求所有设备处于最佳运行状态。在管理上，要健全安全管理体制，强化使用人员和管理人员的安全防范意识，不断加强校园机信息网络的安全规范化管理力度，把不安全的因素降到最低。

2.2信息安全的隔离防控

信息安全隔离防控措施具体如下：

(1)路由器。处于网络架构的第一层，是xx攻击的首要目标。所以，路由器必须设置一定的过滤规则，用以滤掉被屏蔽的1P地址及服务。

(2)防火墙。是一种由计算机硬件和软件组成的一个或一组系统，用于限制被保护校园网内部网络与外部网络之间进行信息存取、传递操作，防止“xx”进入。它处在内部网络与外部网络之间，根据连接网络的数据包来进行监控，掌管系统的各端口，对其进行身份核实，限制外部用户进入内部网，同时过滤掉危及网络的不安全服务，拒绝非法用户的进入。

(3)IDS(入侵检测系统)。是防火墙之后的第二道安全闸门，通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象。它安装在计算机网络的关键部位，能在不影响网络性能的情况下监测网络上所有的包，用来实时监测网络和信息系统访问的异常行为，能识别防火墙不能识别的攻击(如来自内部网络的攻击)，从而提供对内部攻击、外部攻击和误操作的实时保护。

(4)网闸。是一种带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能在网络间进行安全适度的应用数据交换的网络安全设备。当内部网络对外网访问的需求影响内部网络系统的安全性及可用性时，网闸能够阻断内外网络的物理连接，防止外部攻击，保护内部网络，提供比防火墙、入侵检测等技术更好的安全性能。

(5)访问控制。是信息安全防控的核心策略之一，主要任务是保证网络资源不被非法使用和非常访问，访问控制技术主要包括入网访问控制、网络的权限控制、根据网络安全的等级，网络空间的环境不同，可灵活地设置访问控制的种类和数量。传统的访问控制策略包括自主访问和强制访问，为考虑信息安全和传输流，目前采用的是基于对象和任务的访问控制。

3网络终端的安全防控

对于网络终端的计算机，首先要确保操作系统的安全，及时扫描修复系统漏洞，其次要安装防火墙和杀毒软件，及时更新病毒库，实时过滤可疑文件。另外可以使用信息加密技术对文件进行加密处理，如水印系统。还可以使用虚拟机技术，虚拟网络环境。

4结论

数字化医院网络安全问题分析 第5篇

【关键词】数字化医院；网络安全

【中图分类号】TP393【文献标识码】A【文章编号】1672-5158（2013）02-0128-01

一、前言

随着信息技术的不断进步，网络已经成为了人们进行信息传播的重要工具之一。随着信息技术优越性的体现，信息化建设已经逐渐被推动到一个新的高度，这也就推动了网络建设的发展。医院是重要的学术研究基地和治病救人的专业机构，为了自身发展的需要，对信息化建设的需求较高，而且信息化建设的程度也较高，这为医院的发展有着十分重要的作用。但是因为在信息化建设的过程中缺乏充足的技术力量以及其他方面的原因，使得医院现有的网络安全状况并不是很令人满意，这就提出了如何加强医院网络安全管理的问题。

二、数字化医院网络安全的重要性

医院的信息化建设工作经历了不同的阶段。在信息化起步阶段，医院内部的科室各自建立了独立的应用系统的软件，以满足自己的需求，系统之间是孤立的缺乏相互的联系，如果某个应用系统出现安全问题，其影响范围一般只限于本科室。而“数字化医院"阶段，医院内不同的应用信息系统之间实现了系统整合和数据共享，各个应用系统都运行在医院内统一的计算机网络平台上，在这个环境下一旦某个终端出现了安全问题，如病毒发作等，其影响可能会波及到整个网络，从而影响整个医院内部信息系统的运行，给医院的正常运转带来严重的影响。如果攻击损坏了存储设备或服务器上的医疗数据，可能会导致医疗业务无法在正常开展，影响患者的及时救治，影响医院的声誉。

因而，切实保障数字化医院的网络安全，加大网络息系统的安全管理，做好数字化医院的网络安全管理工作，确保数字化医院信息以及数据方面的的安全性，已经成为数字化医院的发展一个极为重要和严肃的内容。如果不加大对网络信息安全的管理，导致数字化医院的信息系统遭到严重的破坏，致使医院内部的资源、数据的丢失等问题的产生，最终带来经济、社会等方面损失的负面作用，那么所谓的数字化医院的资源共享优势也仅仅成为了一句空话，数字化的意义也就失去了。所以，数字化医院的网络安全管理必须引起我们足够的重视。

三、数字化医院网络安全管理的具体措施

（一）加强数字化医院日常安全网络的维护

数字化医院暂时拥有一个安全的网络信息系统并不是件一劳永逸的事情，它是需要网络信息安全管理员来耐心且精心维护的，主要包含有硬件设备和软件设备二方面的维护工作。

①在通常情况之下，为了方便网络信息安全管理员的维护工作，医院主要的网络硬件设备和仪器都是安装在室内或是走廊的，管理员只要做到经常性地查看设备和仪器的运行状态是否正常就可以了，并不用担心网络设备和仪器会遭受到自然因素的破坏，但是应该做到尽可能地避免由于人为因素而对网络设备造成的破坏。

②加强对软件设备的日常维护工作主要做的就是要安装防火墙，以确保数字化医院的网络信息系统具有很强的防御功能，防止内部系统遭到破坏而导致医院内部数据外泄的事情发生。同时，负责数据库的管理员要及时制定一份数据库备份的方案，做好数据备份工作。一旦遇到数据库瘫痪的状况发生之后，便可以利用之前所备份的数据及时有效地对数据库进行恢复，避免数据丢失。

（二）建立一套强有力的安全管理机构。如果一个团队没有组织，那么这个团队就像是一盘散沙一样，毫无纪律、毫无方向、毫无主心骨，只有当这个团队有了一个强有力的组织机构，这个团队在进行任何操作以及执行任何工作任务的时候都不会像是一只无头苍蝇一般手忙脚乱、毫无方向。而是可以合理安排人员、详细分清岗位职责并有条不紊地执行任何操作以及工作任务。因而，数字化医院要建立一套强有力的安全管理机构，切实有效地保障医院内部的网络信息安全。就要让每一位信息安全管理员以及以每一位医务人员在意识到医院信息系统安全的重要性的前提下，充分熟悉自身岗位的职责并严格遵循操作规范，负责好数字化医院内部的网络系统管理，保障网络的畅通和安全，杜绝违规的现象发生。

（三）加强对数字化医院人员方面的管理

数字化医院的网络信息系统得以安全、正常运行的前提就是需要有一支精通计算机知识的技术人员队伍对网络信息系统进行日常的安全维护，在遇到故障或问题的时候能够运用熟练的技术方法去解决。所有的操作人员除了信息安全管理人员之外，还有其他的医务人员，他们的素质、责任心、敬业精神、思想觉悟等个人因素都会直接影响到数字化医院的信息系统的资源、数据的安全性和完整性。因而，数字化医院要对网络信息安全管理员还有每一位享受资源共享的医务人员都要进行集中式的培训以及日常渗透的方式，加强网络信息安全管理人员还有所有的医务人员的职业道德教育和网络安全意识，并制定相关的岗位责任制，让他们可以做到在熟悉信息系统正确操作的步骤、规程的基础上并养成一个安全上网的好习惯。当网络受到攻击的时候，破译用户使用的密码、口令是将入侵者操作的第一步，所以，还要加强数字化医院对所有使用密码的管理，医院的信息系统应该赋予每个用户不同的权限，并要加设专门的网络信息安全管理员来保管账号、密码，以防其外泄而受到非法用户侵入网络。

（四）采用杀毒软件及网络安全设备

采用杀毒软件及网络安全设备是加强网络安全的防范的重要措施。病毒和黑客攻击是破坏网络安全、破坏数据的主要原因，必须严加防范。杀毒软件有网络版和单机版两种，单机版只能对本机的病毒和攻击进行防治，而网络版杀毒软件可对整个网络的病毒进行防治，客户端把病毒监控和查杀信息反馈给软件监控中心，监控中心统计网络中存在的病毒和攻击的类型和数量，让网管人员可以及时采取措施，隔断病毒的传播，把病毒影响的范围控制下来，因而数字化医院应该采用网络版杀毒软件。防火墙、入侵检测、网闸等网络安全设备目前在防范病毒和黑客攻击中发挥着越来越大的作用。防火墙设置在不同网络之间的安全设备。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。入侵检测设备对网络行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测对系统安全的影响和威胁。网闸弥补了防火墙的不足之处，通过对两个网络在链路层断开，实现不同网络上的数据库之间交换数据，实现安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证等功能。网络安全设备和杀毒软件的选择必须根据网络的实际情况和安全要求，配合使用，才能达到较好的防范效果。

（五）采用远程桌面管理系统

近几年，远程桌面管理系统的运用在逐渐推开，其功能也越来越强大，可以实现客户端软件系统和硬件设备状况的管理、可以对客户端进行配置、可以监控客户端的用户操作的内容。系统管理员只要在自己的办公室就基本可以完成以前的网络管理工作：如果发现病毒，网管就直接操作查杀客户端；如果发现非法入侵，网管可堵住系统的漏洞，如果客户点擅自修改了密码，系统管理员可以及时进行调整，如果员工擅自在计算机上安装光驱等设备，系统管理员可及时发现，并责令改正。

四、总结

总之，医院要加强现代化建设就不可能离开信息化建设，进而离不开电脑网络，因此我们医院网络管理工作人员就必须要做好好医院的网络软硬件维护管理这项工作，为医院的发展提供一个良好的网络环境，使之能够保证医院各业务的有条不紊的运行，为医院的发展贡献自己的力量。

参考文献

[1] 李仲影，孙剑，韩冰.医院信息网络安全解决方案[J].武警医学， 2004，15（6）：463

数字化安全性 第6篇

上世纪九十年代中期以来, 随着采用数字技术处理音频信号技术的出现和成熟, 在国内外逐渐形成了一股采用数字音频技术和设备替代开盘、卡带等传统的模拟音频设备的浪潮, 上海宝山区广播电视台 (以下简称“我台”) 也在上世纪末期 (1998年) 通过采用杭州某公司的DE200音频工作站系统实现了广播节目编播工作的数字化。初建时期使用的音频工作站系统由1台主播站 (兼数据库服务器) 、1台精品制作站、2台语言录制站、1台管理类综合站共5个工作站组成, 系统采用100M网络。

早期的计算机 (音频工作站) 和服务器以及硬盘 (SCSI硬盘) 都比较昂贵, 硬件Raid的解决方案虽然速度快、稳定性好, 可以有效地提供高水平的硬盘可用性和冗余度, 但是居高不下的价格实在令人可畏。不过就当时的操作系统而言, Windows NT提供了内嵌的软件Raid功能。软Raid不仅实现非常方便, 而且还大量地节约了宝贵的资金。因此, 在当时资金比较紧张的情况下, 选用了工作站+软Raid 5的方案。数据库软件采用了微软的Access 97。

由于播出站和数据库服务器共用、数据盘使用软raid5、因为节目制作工作站数量少、制作频繁, 且硬盘阵列容量偏小, 经常性进行读/写及删除操作, 并时常人离开后也不关闭制作站的编辑软件, 造成数据库经常处于常时间打开而无操作的状态, 带来了诸多问题。同时还存在下列问题:大部分机器配置过低无法适应目前的工作量;主播站兼服务器性能无法满足当时的大量节目的制作和播出要求, 音频资料增长速度快、现有的存储容量已无法满足日益增加的节目的永久保存需求;单服务器的安全性问题;单播出站的安全性问题。

针对上述5个方面的具体要求, 在经过数年使用并根据实际经费预算许可的情况下, 决定在2003年从以下几方面入手, 对工作站系统进行更新。

1.服务器方面:采购小型部门级服务器, 采用双服务器结构, 彻底淘汰原来的单服务器结构, 避免由于单服务器的集中式工作方式, 一旦突然崩溃, 将造成全台播出的停顿。

2.存储方面, 选用了外置磁盘阵列柜:选用2块146G的SCSI硬盘, 组成硬件Raid 1 (目的是最大限度的保证节目数据的可用性和可修复性) , 且阵列柜也因此比较简单小巧、价格便宜。同时, 主备服务器各用一套外置阵列柜, 主备播出站各读各自的主备阵列数据, 形成2条独立的主备播出链路。

3.为节约资金。原有音频处理卡继续沿用, 由于是ISA插槽, 因而选用支持ISA插槽的商用机。

后来在使用过程中因为民用级的阵列柜故障率较高, 在2004年就改采用专业级的8槽位IDE-SCSI阵列柜, 选用8块120G的IDE硬盘组成Raid5+1hot spare, 主要是因为IDE硬盘较SCSI硬盘便宜, 阵列容量为720G, 较早期软raid5做的硬盘大了近4倍, 通过这次扩容大大提高了节目存放容量, 充分满足了当时及未来一段时间的存储要求。

然而随着广播业务的不断发展, 经过2次更新改造的系统负担日益加重, 特别是服务器机型陈旧、存储容量有限, 所有工作站的计算机性能已经无法满足当时的工作要求, 数据的安全性也受到一定的威胁。考虑到播出的安全性、稳定性等各个因素, 我台决定在2008年再次对原系统进行升级扩容, 采用Link2000音频工作站系统。该系统由1台数据库主服务器、1台数据库备服务器、1台主播站、1台备播站、2台精品制作站、2台语言录制站、2台直播站、1台管理类综合站共11个工作站组成, 系统采用1000M网络, 所有音频编辑、管理软件从DE200升级到Link2000。

这次改造对服务器也进行了升级, 购买两台企业级服务器, 将原服务器替换掉, 安装了网络操作系统Windows 2000Advanced Server和数据库平台SQL Server 2000。使用服务器群集技术, 使得两台服务器之间互为冗余, 既一台服务器出现故障时另一台服务器接管所有任务继续工作, 整个系统的安全性从而得到了保障。同时因为现在的SATA硬盘稳定性和容量都大为提升, 决定采用服务器 (支持Raid 1) 内置2个1T的SATA硬盘作Raid 1, 从而使存储空间达到了1T。数据的安全性不亚于原来采用外置阵列柜的方式, 且节约了机柜内的存放空间, 这样服务器通过扩容和升级就完全满足了需求。

对于工作站的升级, 由于工作的实际需求, 增加了2台直播工作站和1台新的精品文艺录制站, 确保文艺录制站也有了备份机。而老的工作站包括音频卡在内, 所有的硬件都更换掉, 采用了国外某公司生产的PCI音频处理卡PCX924和PCX22。软件也全部换成了Windows 2000系列操作系统, 因此此次更新也可以理解为重建了一套新的音频工作站系统。

2改造过程中的系统安全保障

综合我台对音频工作站的三次更新改造可见, 对于广播电视台的播出系统而言, 最大的前提是保证安全播出。而在大量的实际工作中发现, 影响安全播出主要有以下三种原因:服务器故障、播出站故障及音频资料库的毁坏。前两者可以理解为硬故障, 后者为软故障。

2.1针对数据库软件故障 (音频资料库的毁坏) 的对策

对于音频资料库毁坏的软件故障而言, 由于早期采用的Access是小型数据库, 数据储存量小、安全性不够高、用户级密码容易破解。C/S结构下对服务器要求很高, 否则容易造成MDB损坏。对高强度操作适应性差, 如果服务器不够好, 网络不够好, 编程的方法不够好, 6~7人同时访问就能导致MDB损坏或者服务器假死, 不能脱离Access或者Access Runtime环境。以下几种情况下数据库就会出故障:数据库过大、记录数过多、容易出现各种因数据库刷写频率过快而引起的数据库问题, 最后数据库安全性比不上其他类型的数据库。由于这是Access本身的局限性, 所以除了减少数据量和更换大型的数据库以外也没什么好办法。

2.1.1临时的解决办法

定期删除多余的过期记录 (数据) 、压缩数据库。我台在工作中经常周期性采用此法, 一般定为1星期1次, 并及时制作数据光盘备份节目。

2.1.2比较长远的办法

更换数据库, 使用SQL数据库等等。此方法一直到升级为Link2000音频工作站系统后才最终采用。然而相比Access, SQL2000因功能强大, 操作数据也比Access较为复杂比如备份数据库、修复数据库、恢复数据库等操作, 需要使用者掌握一些基本的数据库操作技能。此外, 针对另外2个硬故障, 主要有下面几种对策。

2.2服务器双机容错

双机容错的目的在于保证数据永不丢失和系统永不停机 (Non-stop) 。双机容错模式有2种, 分别是双机热备份和双机互备援。

2.2.1双机热备份 (Hot Standby)

双机热备份, 就是一台主机为工作机, 另一台主机为备份机, 在系统正常情况下, 备份机监视工作机的运行情况, 工作机也同时监视备份机是否正常。当工作机出现异常不能支持信息系统运营时, 备份机主动接管工作机的工作, 从而保证信息系统能够不间断地运行。当工作机经过维修恢复正常后, 它会将其先前的工作自动抓回, 恢复以前正常时的工作状态。在这个容错方案中, 操作系统和应用程序安装在两台服务器的本地系统盘上, 整个网络系统的数据是通过磁盘阵列集中管理和数据备份的。

我台第一次和第二次更新都是采用此法, 对数据库服务器作了双机热备, 只是第一次更新未采用共享磁盘阵列 (通过软件在后台对数据进行Mirror备份, 确保数据更新的实时和安全) , 而第二次更新则采用了共享磁盘阵列。

2.2.2双机互备援 (Dual Active)

所谓双机互备援, 就是两台服务器均为工作机, 在正常情况下, 两台工作机A和B互相监视对方的运行情况。当一台主机A出现异常时, 另一台主机B则主动接管主机A的工作, 确保信息系统能够不间断地运行, 从而达到不停机的功能。当主机A经过维修恢复正常后, 它会自动抓回先前的工作, 恢复以前正常时的工作状态。此处主机A和B可互换。

虽然这种方式有更高的效率, 但在软硬件设置方面更复杂。我台第三次更新就是采用此法, 对服务器作了双机互备援, 因未采用共享磁盘阵列的方式, 所以主机A作数据库主服务器、存储备服务器, 主机B则作数据库备服务器、存储主服务器。

2.3磁盘阵列技术

磁盘冗余阵列 (RAID) 技术分为RAID0、RAID1、RAID2、RAID3、RAID4、RAID5、Raid 5E、Raid 5EE等及其他组合方式如Raid 10、Raid 50等。由于各种RAID技术各有利弊, 具体到我台应用的Raid技术, 考虑到安全性与容量的兼顾以及预算经费的多寡, 分别经历了软RAID5RAID1硬件RAID5+Hot Spare, 最后又回归到了RAID1。

2.3.1 Raid 1磁盘阵列

一种镜像磁盘阵列, 其原理就是把用户写入硬盘的数据百分之百地自动复制到另外一个硬盘上, 通过磁盘数据镜像实现数据冗余, 在成对的独立磁盘上产生互为备份的数据, Raid 1又称为Mirror或Mirroring。Raid 1可以提高读取性能, 但不能提高存储性能, 然而由于其具有的高数据安全性, 使其尤其适用于存放重要数据, 如服务器和数据库存储等领域。

2.3.2 Raid 5磁盘阵列

可以理解为是Raid 0和Raid 1的折衷方案。Raid 5可以为系统提供数据安全保障, 但保障程度要比Mirror低而磁盘空间利用率要比Mirror高。当Raid 5的任意一个磁盘发生故障损坏后, 利用剩下的N-1个磁盘数据去恢复被损坏的那个磁盘数据, 所以标准的Raid 5只允许有1个磁盘出现故障, 而无碍数据的读写, 但需尽快用冷备盘去替换故障盘, 然后在线重建阵列, 极早恢复数据安全。

2.3.3 Raid 5+Hot Spare

一种Raid 5阵列, 其中有一个磁盘用作热备用磁盘, 用于在磁盘发生故障时立即重建系统。如果一个物理磁盘发生故障, 在重建过程中磁盘上的数据仍然可以访问。故障磁盘上的数据将重建到热备用磁盘上。当故障磁盘更换后, 更换的磁盘可被重新定义为新的热备用磁盘。

2.4主备播出方案

当主播机发生故障时, 主备播出方案可以使备机立即启动代替主播机继续播放, 保证不停播。此技术后来我们把它发展为主、备机用同一个数据库、但不同的数据服务器 (主播用主数据服务器的数据、备播用备数据服务器的数据) 的数据播出, 也就是在前面提到的我台在第一次更新时采用的各播各的技术, 由电台总控监听人员用人工方式切换主备播出链路。

2.5节目预载技术

通过建立本地硬盘节目库, 提前几天 (可由软件自动设置) 把待播节目从服务器下载到播出机本地硬盘, 除直播节目外, 要求其他节目均应至少提前半小时上传到服务器, 确保节目安全下载到本地, 由本地机直接播出本地库的节目, 这样当服务器或者网络出现故障时仍可正常播出。此技术在第一次更新前后各应用过一阵, 因为那时的软Raid 5阵列和民用硬盘外置柜工作不稳定, 通过此法可以在减轻数据服务器的负担的同时, 提高安全播出的可靠性, 但同时也增加了播出站的不稳定性, 在后几次更新过程中最终被弃用。

另外还可以从下面3个方面来提高安全制作、播出的高可靠性:统一的时钟系统、不间断电源系统、防火墙的配置及数据桥的应用。

2.6时间的校准统一

通常服务器通过校时软件定时和主备GPS校时钟校时, 各工作站统一采用软件 (其实主要是定时发出net time的命令) 跟服务器校时, 使网络系统时钟准确, 保证系统的正确。

2.7不间断电源系统UPS

一个高可靠性的不间断电源系统也是安全播出所必需的。在此, UPS主要起两个作用:一是应急使用, 防止突然断电而影响正常工作, 造成设备损害;二是消除市电的电涌、瞬时高、低电压、电线噪声和频率偏移等“电源污染”, 改善电源质量, 为系统提供高质量的电源。因此自从使用数字音频工作站开始, 我台就对各类服务器和工作站采取了双电源及UPS的配置, 从最初每台工作站仅可在停电之后工作半小时以紧急存盘, 不致因停电而影响工作或者丢失数据到后期建立的共享UPS电源可支持24小时的节目制作和播出。

2.8防火墙的配置及数据桥的应用

网络技术的不断发展, 其便捷的功能, 以及丰富的网络资源, 使得广播电台的节目制作对网络的依赖性越来越大。但另一方面, 由于网络本身的不安全因素, 也使得在共享过程中对资源的安全抱有一定的担心。随着业务应用的复杂化, 大多数电台已逐步建立并完善了音频制播网、办公网等各类局域网。然而传统的模式是为了确保安全播出, 制播网络和办公网络是相互物理隔绝的, 彼此不能相互访问数据资料, 即使需要传输节目素材也是在确保网络安全的前提下, 通过复杂的人工操作 (采用刻盘、倒带等原始办法) , 由专人专设备、专用的工作站采用1:1实时操作才得以实现。

为此, 除了使用物理防火墙外, 还可以采用一种全新的隔离方式解决方案:Data bridge安全数据桥技术。Data bridge采用了一种可以完全切断网络的USB物理连接, 但又能进行必要数据交换的安全技术。数据桥作为内外网数据的传递设备, 放置在内外网之间, 通过内置在数据桥中的控制软件控制两个相互独立的网络进行数据的交换。

通过音频工作站发起的SQL请求, 数据桥能够进行识别, 同时对请求数据进行加密, 通过特定的端口进行数据查询, 返回加密的数据。数据桥能够根据查询请求将结果解密返回给音频工作站。对于非工作站发起的SQL请求全部认为是非法的攻击, 丢弃全部请求数据, 保证系统的安全性。

数据桥具有如下的特点:基于非标准的物理链路、自定义的传输协议、基于传输内容的高安全机制、带有可扩充功能的插件机制、安全的SQL数据访问能力。其中后3种特点实际上都是在传输软件上进行适当的设置, 可实现在进行安全数据传递时, 对所传递的文件进行数据转换, 及对特定的数据进行提取、传输等等的特殊要求。

3结束语

只有在安全上达标的系统才具有可用性, 为了提高系统的安全系数, 本台在几次更新改造过程中, 不惜以大量的冗余为代价, 从数据库的主备到存储系统的主备, 从节目制作的主备到播出的主备, 无不体现了这一冗余的思路, 这也导致系统成本的成倍增加。统计表明, 有90%以上的故障不是由硬件引起的, 而是软件方面的原因, 其中又有很大一部分是由于操作人员的操作不当引起的。所以, 对操作人员的技术培训是个不容忽视的问题。当硬件都一样时, 软件适用性的方便、安全就是安全播出的决定性因素, 而人恰恰是“软件”中最关键的一环!

参考文献

[1]马胜豪, 任秀敏.数字音频工作站技术[J], 河南科技, 2001 (9) :22-23.

数字化安全性 第7篇

综合自动化变电站由于变电站保护装置、测控装置、计量装置等设备的通信接口不规范、不统一, 故而造成信息传输实时性较差、互操作性不强、数据共享性差等问题。数字化变电站基于IEC61850这样一个平台, 虽然解决了实时性、互操作性、信息共享的问题, 但是也带来新的风险, 即信息安全性问题。本文从数字化变电站的产生说起, 指出数字化变电站的特点, 并对其信息风险进行阐述, 最后给出解决信息风险的一些对策。

1 数字化变电站的产生和发展

数字化变电站是以电力科学技术指引, 以其他相关科学, 比如计算机技术、通信技术、传感技术、现代电力电子技术、网络技术为基础, 并随着这些相关技术进步而不断发展的一个过程与必然。过程是指数字化变电站技术是在这些相关技术的发展前提下, 在这些基础科学发展的过程中逐步建立起来的一门科学技术, 也是电力科学不断向绿色化、智能化、网络化方向发展的一个过程。必然是指随着国家工业化、城镇化的实施, 人民对居家用电要求的提高, 加之各个行业蓬勃发展对电力的强劲需求, 所有这些都要求必须有一个坚强的电网、稳定的电网, 才能做到优质供电, 于是, 数字化变电站应运而生, 所以说, 它是电力科学发展的必然。数字化变电站是传统综合自动化变电站向智能变电站发展的一个阶段性产物, 是传统电网向智能电网发展的一个必经之路。

2 数字化变电站的特点

有关数字化变电站特点的论述很多, 作者结合自身工作经验, 总结出数字化变电站的特点主要体现在两大方面, 即物理层面和逻辑层面。

2.1 物理层面

物理层面的特点主要体现在一次设备和二次设备两个方面。

2.1.1 一次设备智能化

得益于电力电子技术、嵌入式技术及传感技术的发展, 才有了今天的智能断路器、光电压互感器 (简称:光PT) 、光电流互感器 (简称:光CT) 。相对于传统断路器, 智能断路器内部的执行单元采用微机进行控制, 在收到调度命令后, 断路器内部的微机处理单元可直接处理调度信息并执行, 在电气回路方面, 现代电力电子技术已代替常规断路器机械结构的辅助开关和辅助继电器, 并简化了电气回路及其设计。对于传统互感器, 现在的非常规传感器, 如光PT、光CT通过利用其微机技术, 可独立采集遥测数据, 并可以实现预检测缺陷和预判断故障功能。

2.1.2 二次设备网络化

二次设备网络化就是指目前变电站内常规的二次设备, 例如录波装置、继电保护装置、测控装置、电能量采集装置等设备, 其设备与设备之间以工业以太网进行通信。相比以前的Lonworks网、CAN网通讯, 以太网真正的实现了设备的数据交互、数据共享, 进而容易实现对变电站设备的互操作。

2.2 逻辑层面

伴随着数字化变电站概念的诞生, 变电站站控层、间隔层、过程层的概念也悄然流行。在逻辑结构层面, 专家学者往往把数字化变电站分为三层, 即站控层、间隔层、过程层。站控层就好比大脑, 对间隔层数据和过程层装置都进行实时监控并向调度传送本变电站运行工况信息;间隔层负责站内设备数据的处理、上送, 并执行调度下达的控制命令;间隔层负责基础遥信、遥测等数据的采集。

目前, 由于数字化变电站是基于IEC-61850平台构建的, 因此对通信接口和通信协议进行了一定程度的标准化、规范化, 这才使得信息实现了共享, 设备实现了互操作。可是, 信息的共享也给我们带来一个新的课题和挑战:信息共享使得信息的透明度大大提高, 透明度高就意味着信息传输的风险加大。这样, 信息的可靠性和安全性又提上了一个新的议程。

3 数字化变电站信息风险因素分析

随着电力网络管理信息化, 电力系统信息技术的发展, 因特网技术的广泛使用, 信息的逐步公开和透明, 变电站及其整个电网的安全运行由以前的注重一次设备稳定逐步转移到注重二次信息安全方面。在互联网时代, 信息安全是电力系统稳定运行的中流砥柱, 也是今后研究和发展的重点。目前对电网形成威胁的方式方法很多, 主要网络破坏方式如表一所示。

国内已出现多起威胁电网安全的信息安全事故。2001年, 南京X山公司安装在全国147个电站的录波器频频发生质量问题, 据查, 录波器的在线软件有“逻辑炸弹”, 逻辑炸弹使录波装置在某个特定的时间里, 其录波装置功能丧失, “逻辑炸弹”一旦爆炸, 将在极大程度上影响电网的安全运行。还有, 2003年年底, 在江陵、鹅城换流站监控系统发现“win/mofei.Worna”计算机蠕虫病毒。为杜绝类似威胁再次发生, 国家电网公司发布 (2004) 3号《关于加强跨区电网变电站监控系统安全管理防范病毒侵袭的函》, 很显然, 病毒一旦作用, 其破坏性是毋庸置疑的。

4 实现数字化变电站信息安全的防范措施

4.1 VLAN技术

VLAN (Virtual Local Area Network) 即虚拟局域网, 是一种通过将局域网内的设备逻辑划分成一个个网段, 同时, 又不影响信息交互、数据共享的一种网络信息技术。每一个VLAN都有一个VLAN头, 它表示具备相同需求的一组工作, 每个VLAN内部的信息绝对不会转发到其他VLAN中, 而且以太网802协议支持VLAN划分的, 进而能实现网络的有效分组和隔离。实际运用中, 通过对信息的分类, 比如数据调用功能设置为VLAN0, 涉及保护跳闸和远方跳闸命令功能设置为VLAN1, 用于SCADA系统信息的功能设置为VLAN2。这样, 基于以太网802规约的VLAN技术可以在逻辑层划分不同的应用, 而不需要不同的端口就可以有效地实现信息的安全隔离。应该注意到, 由于对所要传输的信息进行了划分, 对于接收并处理信息的变电站各种智能电子设备而言, 必须具备对信息及网络标签 (VLAN头) 的辨识能力, 并能进行信息处理, 这就意味着智能电子设备的处理器必须要强大, 才能在短时间内根据信息的特性 (如重要程度、传输缓急程度) 进行处理并执行。得益于目前电力电子技术的进步以及嵌入式系统的开发, 智能电子设备的信息处理能力已大大提高, 其微处理器的信息处理能力已能满足数字化变电站的要求。VLAN技术的端口划分主要基于以下几种模式, 其各自具体特性见表二。

4.2 纵向加密技术

以上讲述了变电站内部数据安全传输问题, 下面来阐述, 当数字化变电站向外部 (即调度中心) 传输信息并接受调度中心下达的命令时, 为了确保信息传输安全所采取的保护原则及技术措施。

4.2.1 政策依据

目前, 为了确保信息接收和发送的安全, 根据国家电监委 (国家电力监管委员会) 第五号令《电力二次系统安全防护规定》和原来经贸委30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》, 按照《电力二次系统安全防护规定》之第一章第二条规定, 现阶段在原则上采取安全分区、网络专用、横向隔离、纵向认证这四条准则。

4.2.2 技术手段

在对外信息传输安全的技术手段方面, 主要采取认证技术、加密技术。为了确保信息安全, 纵向加密认证是目前主要技术手段, 在量子计算机 (量子计算机采用的是量子算法, 理论上而言, 破解目前的加密算法轻而易举) 未流行、未普及、未真正实现的情况下, 采用加密认证仍然不失为一种好的技术手段。

一个加密体系的构成如下:

S={P, C, K, E, D}, 其中:

S:加密体系;

P:明文, 即需要传输的信息;

C:密文, 对需要传输的信息加密后形成的密文;

K:密钥, 即加密算法中的可变参数;

E:加密算法, 为加密算法制定的数学规则;

D:解密算法, 加密算法之逆运算。

加密与解密的运算关系如下:

C=Ek (P) , 对明文P加密后得到密文C;

P=Dk (C) =Dk (Ek (P) ) , 对密文C解密后得到明文P。

针对变电站计算机网络, 选用一些最常用的加密手段 (如IDEA算法) , 就可以满足基本数据加密要求, 密钥长度在56位~128位比较合适, 而且没有必要对所有数据进行加密, 只对重要信息, 比如保护装置整定信息、遥控信息、遥调信息、重要遥测信息、需要保密的电能量信息、保密文件信息进行加密。由于IDEA加密算法比较简单, 在运算时间方面, 加密和解密的计算时间耗时不打, 所以不影响数字化变电站与调度中心之间信息传输的快速性、实时性。

5 结束语

本文主要站在软件的立场, 从数字化变电站信息的内部传输 (VLAN技术) 以及数字化变电站信息的外部传输 (加密技术) 这两个角度进行论述。其实, 关于变电站信息安全技术涉及的东西还很多, 从制度体系方面而言, 例如专网专用的制度规定;从硬件设施方面而言, 例如隔离装置、防火墙的应用等等, 这些均是构成电网信息安全的一部分, 鉴于篇幅所限, 无法在此一一论述。可以预见的是, 随着新算法的出现, 电网信息安全的加密算法也必须与时俱进的改进, 应不断积累前期的成功管理经验, 并加以创新。这样, 方能保障电网的信息安全, 从而保障电网的稳定运行, 进而使电能为社会的蓬勃发展持续做出其应有的贡献。

摘要：本文阐述了数字化变电站的产生、发展及特点, 分析了数字化变电站信息传输所面临的各种风险, 并分门别类的对数字化变电站的内风险和外风险所采取的两种解决办法进行了初步探讨, 旨在提高数字化变电站信息传输的安全性与可靠性。

关键词：数字化变电站,信息传输,风险分析,防范措施

参考文献

[1]高翔.数字化变电站应用技术[M].北京:中国电力出版社, 2008.

[2]冯登国.网络安全原理与技术[M].北京:科学出版社, 2003.

桥梁安全养护的数字化 第8篇

随着经济的发展, 建筑事业也在不断发展, 国民生活环境得到了改善, 国民生活水平也在提高。建筑行业的水平也在稳步提升, 其中涉及到的桥梁建设工程就是其一, 但是关于桥梁建设工程中所涉及到的安全养护还是有些不足, 这也导致我国桥梁建筑工程质量存在着不足, 使用寿命和实用功能都有待提高, 给人们的生命安全和财产安全带来了威胁, 所以重视桥梁建筑工程安全养护是必不可少的, 这对我国人民生活和科学技术水平的提升都有着巨大的影响, 我们务必要加大努力。

2、桥梁建设发展趋势

桥梁建设工程如果不能保证质量将会造成严重的后果, 造成重大的损失。在我国, 想要建筑工程质量保质保量就要不断提高其安全养护的工作强度, 只有安全养护不断加强才能进一步确定桥梁建筑质量, 保证国民安全。想要确保桥梁建设工程施工质量, 就要保证在施工过程中合格的安全养护工作, 这不但要求一个完整的管理体系, 还需要我们协调好各工作单位的负责项目。在很多意义上, 我们可以说, 安全养护工作是建筑工程的重要一环, 我们需要将桥梁建设安全养护工作保证, 才能进一步保证建筑工程质量, 这样我们就可以保证建筑水平, 进一步提升整体水平, 也是对我国建筑工程质量安全的一种保障。

3、桥梁管理模式的改进

3.1、增加检测频率、积累大量监测资料

为了确定桥梁管理中整个结构各部分的档案, 我们需要对检测频率进行提升, 而不是当出现安全问题后再去维修, 这样就导致安全隐患随时存在。所以我们在日常养护工作中就要注意对桥梁进行定期检测, 并且按照以往的检测频率进行适度增加, 对每次检测后的结果进行记录, 这样我们可以形成较为完整的记录, 在以后的使用中能够随时查找到相关资料, 方便我们记录桥梁的使用情况。随时的数据记录也能够在以后提供正确的有价值的数据, 为数字化养护提供基本资料, 所以我们要正确使用相关的监测资料, 争取能够最大限度地为我国桥梁养护工作的数字化提供基础资料。

3.2、提高检测仪器操作自动化和可靠性

目前, 我国关于桥梁检测的设备已经有了很大的提高, 无论是技术上还是仪器的使用功能上都很大程度上满足了我国桥梁检测的需求, 但是其中有着一个不足点就是需要人工干预, 这就导致在仪器检测中需要投入过多的人力资源, 仪器不能自主给出检测结果, 还需要分析。许多检测中所采集的信息在经过人工分析后很可能出现差错, 有些重要信息也可能出现遗漏或者失误, 所以我们可以说, 仪器检测的自动化还有待提高, 信息采集结果的可靠性也需要进一步增强。这就需要我们对检测仪器进行技术上的提升, 进一步融入进自动化技术, 对程序进行升级, 实现更高的自动化技术融入, 进而增加其可靠性。

3.3、监测信息的网络传输共享

一般情况下我们都是将信号采集器安装在桥上然后进行检测, 但是桥梁尺寸较大, 检测工作比较散, 这样我们需要将采集信息进行一定的处理然后进行传输和记录。所以我们可以在监测信息传输中运用局域网或者互联网等进行传输工作, 这也就是我们所说的网络传输和共享。如果在处理桥梁问题中遇到无法解决的问题也可以随时通过网络对专家进行提问, 经过讨论进行第一时间的解决, 这不仅方便了我们工作, 也节省了时间, 提高了工作效率。

3.4、全结构的综合分析

全结构的综合分析相当重要, 我们需要知道桥梁结构检测都是单项的, 这有着一定的局限性, 所以我们应该进行综合性分析, 避免这种局限性, 寻找各单项之间的数据关系。在今后的桥梁安全养护中, 我们逐渐融入进数字化, 所以各参数值都相当重要, 每一个参数值发生变化都会影响安全养护的结果, 有可能造成巨大的影响, 所以我们在进行全结构的综合分析中还要注意所使用的数据都是正确的, 避免出现错误数据导致整个综合分析都是错误的, 这对分析结果有着重大的影响。

3.5、全桥的预测和预警

通过桥梁各部位的检测和分析后, 我们可以得出全桥的综合评定, 但是如果出现特殊情况, 我们还需要进行适时的预测和预警。这其中涉及到了评定结果是否准确, 准确度也取决于局部检测是否准确, 所以每一环都十分重要, 环环相连。或许我们使用了不同的评定方法我们得到的结果就会不同, 所以还是存在着一定的局限性, 结果就比较保守, 我们需要进行及时的更正。想要更加充分的了解如何才是最佳办法还需要进一步验证, 目前已经将自动报警装置安装在桥梁上, 这虽然不能起到根本作用, 但至少解决了桥梁安全问题, 也能及时提醒工作人员进行修理。

4、实现数字化桥梁管理的方案

根据目前我国的桥梁发展现状, 我们可以实现数字化管理, 但是还有待提高。从检测方法、检测仪器以及计算模型等方面, 我们可以进行一个综合性系统建立。

采集数据有所误差, 我们们可以建立一个数据监测装置, 为了提高数据采集信号的准确度也可以用硬件系统提高, 这极大地降低了成本。

根据相关理论, 我们发现桥梁检测经验中带给我们的关键信息是我们可以通过设计进行数据记录的硬件设备, 自主研发设备可以让我们对数据采集器运用得更加成熟, 完成全局的自动化, 实现真正的远程系统控制。最终对重要部件就可以进行监控, 实现随时的分析和信息捕捉。

我们也可以加入数据库技术, 解决了数据储存的问题, 也方便我们对数据进行管理和测评。对数据处理以及数据误差分析, 我们可以实现更高层次的链接库, 这样更加具有扩展性, 有利于随时进行系统升级。

5、结束语

桥梁安全养护的数字化实现是必要途径, 只有这样才能进一步完善桥梁养护工作, 也是正确的发展趋势, 所以我们一定要继续深入研究, 争取继续发展桥梁安全养护数字化, 实现更高的技术水平。

摘要：随着国家经济的不断提高, 我国人民生活质量也在稳步提升, 关于桥梁安全养护也引起了社会的注意。我们需要继续加强对桥梁安全养护数字化的要求, 继续加强有关桥梁安全养护的管理。本文主要就桥梁安全养护进行了分析, 并对数字化应用进行了探讨。

关键词：桥梁建设,安全养护,数字化

参考文献

[1]刘力铭.桥梁安全养护的数字化[J].商品与质量.2014 (6) :101-102.

[2]顾然.桥梁安全养护的数字化[J].工业.2015 (2) :4-5.

提倡安全的档案数字化外包 第9篇

外包 (Outsourcing) , 是指组织为聚焦自身的核心竞争能力, 将非核心业务委派给外部专业公司。档案馆的核心业务一般不包括档案数字化, 所以外包是档案数字化建设的有益、有效形式。安全体系控制下的档案数字化外包才是健康的外包。作为档案数字化外包服务公司, 主动与档案馆合作开展全过程安全外包, 实现双赢, 自身才能持续健康成长。外包公司应把好招聘关, 认真审查应聘者身份, 需试用考核合格后方签订正式劳动合同, 签订安全保密协议, 定期、不定期开展外包技能和安全培训, 提高全员安全意识。充分利用比档案馆更丰富的数字化技术资源, 为档案馆提供更高质量、更高效率、更高效益的服务。主动学习、执行档案数字化和外包服务相关法规, 努力净化档案数字化外包市场环境。主动接受档案行政部门和行业学会的管理指导, 共同促进档案数字化外包市场的规范化发展。

数字化铁路行车的安全保障体系分析 第10篇

关键词：数字化铁路；DRRS体系；行车安全；保障体系

数字化铁路的建设离不开数字铁路安全（DRS）相关技术的引入，利用相关技术构建数字铁路安全保障体系（DRRS）对于实现铁路高质量的安全运行有积极意义，可显著降低各类安全事故的发生几率，实现高效化的铁路安全管理。目前我国数字铁路安全保障体系的建设主要集中在单点控制、局部预防等领域，虽然积极尝试将人工智能、信息技术、云计算、集成理论等引入安全保障体系，但是还需加强研究与实践，以便进一步提升保障体系的建设水准与服务水平。下面简要分析下数字化铁路行车安全保障体系的结构与运行情况。

1.数字化铁路行车安全保障体系结构分析

数字铁路安全技术管理将人、车、轨道运输环境、管理等多种静态、动态数据融入管理体系，在GIS技术辅助下建立全新的空间数据库为行车安全提供全面可靠的信息来源，在此基础上DRRS体系才可以顺利构建，并为保障行车安全提供了高效、可靠的数字化危险源监测系统，实现对车辆事故信息的及时挖掘与处理。数字行车安全技术作为安全保障体系的核心，其本身肩负着传递系统安全信息状态的重要使命，配合安全专家决策系统及时实现对行车过程中人、车辆、环境等因素的安全协调控制，及时控制并屏蔽危险源，确保事故现场信息得以及时输送给指令中心并完成反馈决策的高效执行。

数字行车安全保障体系总体主要由三大模块构成，分别是行车安全决策模块、管理模块与监测模块。安全决策模块主要以专家决策系统、安全信息系统及分析系统构成，安全信息系统及时采集行车现场安全状态信息并完成信息的分析、整合与发布处理，配合其他系统完成协调作用，确保整个安全体系的运作有足够充分且准确的安全信息支撑。安全分析系统主要是对所采集到的各类安全信息进行分析、统计与挖掘，确保其符合安全决策需求。专家决策系统则主要是以安全分析信息为基础，而结合数据模型库与决策性为行车安全提供可靠的安全辅助决策。

安全管理模块横向上主要分为运管、机务、工务、电务、车辆五大部分，每个部分各司其职，完成相应安全管理事务，纵向上从低到高分为站段、铁路局、总公司三层管理结构。铁路行车安全管理正是通过有效的横向与纵向管理实现，纵向管理方面各部门管理人员通过对各类事故信息资料的信息化处理配合专家决策系统为管理提供可靠的决策支持，以便实时掌控铁路车辆行车安全情况，便于及时调整行车安全政策以及行车规划。铁路局通过横向与纵向上的信息交互配合整体管理体制实现对日常安全工作工作的梳理，配合各类运行制度与举措及时处理各个站段的意外事故，合作协同完成事故预防、处理与现场救援。纵向管理中站段管理是执行铁路部门各项安全举措的关键部门，负责行车安全各项日常管理事务的安排，在事发前、事发状态下与事发后都需要积极参与现场安全工作，因此要着重加强对这一执行层的对应监督与管理，以提升行车安全管理效果。

安全信息监测模块负责各类安全信息的采集与处理，其本身主要分为数据采集单元、接收单元、处理/输出单元三层。监测模块由大量的传感器的组成，并且以黑点分布理论为指导合理分布下铁路沿线各个事故高发区域，实现全天候不间断对事故源的监测与排查，通过将传感器采集到的电信号进行转化分析及时通过各类有线或无线网络传递到数据接收单元，接收单元将信号转化为标准计算机编码后传输到系统安全信息管理中心，并进行具体分析与处理，以便满足日常安全需求，配合铁路行车安全管理系统完成信息的共享、分析与处理，及时解决各类安全故障，确保行车安全。

2.数字化铁路行车安全保障体系运作模式分析

数字铁路行车安全保障系统在进行行车调度信息、沿线环境信息、工作人员安全信息、车辆设备运行信息的采集后统一交由系统安全信息处理处，安全管理模块利用信息提供的各类信息为行车安全决策提供可靠依据，为日常安全运行管理提供信息服务支持，为铁路安全事故现场救援提供指导，从而高效率的完成保障体系工作任务。

安全保障体系运作模式是基于现行铁路管理体系特点所作出的选择，根据站段、铁路局、总公司三层纵向管理结构分别自下而上、自上而下的完成相应运作。在具体运作过程中，铁路现场周围边境及行车设备的各类安全监测传感器将系统所采集到的安全信息实时传递到安全监控中心，监控信息对海量安全信息进行初步分析与筛选，常规安全信息直接传递到相关处理业务部分进行处理并存放，被标志为高危安全信息、可能酿成重大安全事故的隐患信息则通过铁路公用信息网直接发送到铁路局的安全监控中心。监控中心对于高危安全信息进行二度分析、汇总及处理，运用相应计算软件及智能化管理模块完成信息资源的深度挖掘，根据其产生的相关安全增值信息完成局内协同预防、救援等工作，各业务部门根据所接受到的事故信息情况结合专家决策库制定相应的救援指导方案并及时下达各相关站段部门单位，各站段部门结合现场具体情况与救援指导方案完成现场救援执行工作。事后，各类事故资料经过整合会被统一存档由各级安全监控中心进行整理，在遇到各类安全事故时进行数据调用与挖掘，并产生相应的数据统计报告，分析出事故中潜藏的各类有效信息从而指导安全预防体系的建设、指导安全管理中政策的制定。

3.结束语

综上所述，数字化行车安全保障体系的建设与运行有利于实现高质量的铁路安全运行，对于降低各类安全事故发生率有积极意义，因此要加强体系建设的研究与实践以便进一步服务铁路行车安全管理工作。

参考文献

[1]戢晓峰，何增辉，刘澜.基于Vague集与粗糙集的铁路安全信息提取方法[J].铁道学报，2010（2）：14-17.

[2]尹航，李远富，曾宪云.基于GIS技术的困难艰险山区高铁安全预警系统研究[J].铁道标准设计，2013（11）：25-30.

[3]刘卫松，甘润.物联网技术在铁路行车安全监控系统中的應用[J].中国电子商情：科技创新，2014（3）：28.

[4]吴海涛，罗霞.基于直觉三角模糊 TOPSIS 的高铁列车调度指挥人因失误风险排序[J].中国安全生产科学技术，2014（4）：139-144.

数字化安全管理的探讨 第11篇

安全管理是供电企业安全生产的命脉。长期以来,国家电网公司及其省公司每年都开展“安全年”、“规章制度执行年”等各项行之有效的活动,来提高供电企业员工的安全意识和安全能力。在安全管理工作中,通常是加强电力员工的安全意识和安全责任,从安全文化、规章制度、教育培训、两票三制、安全风险、危险源点等多方面进行研究和落实,从管理体系、过程控制、未端治理来加强企业的安全生产。数字化安全管理就是用直观明显的数字数据代替以往模糊式的定性数据,严格按照规章上的数字要求来履行电力企业安全职责。

据了解,从2012年以来电力公司在安全管理中采用数字和日常安全管理相结合,在每月的安全月报上用数据说明安全工作的开展情况和存在的不足,让公司各级管理人员了解公司安全生产方面的现状与不足。结合企业的安全现状,职能部门采取相应的工作方法和措施,促使企业安全管理良性循环,将各种安全隐患、薄弱环节消灭在萌芽状态。

1 数字化在安全管理工作的运用

1.1 排查重大安全隐患和缺陷

在电力作业维护中,时有因为资金、地理环境、停电因素等多种原因而造成重大缺陷隐患,若得不到及时解决和消缺,久而久之,会有不少重大隐患和缺陷被遗忘。不仅影响了上报隐患缺陷人员工作的积极性,而且不便于安全管理;其次,当不少重大缺陷隐患演变成事故时,对电力公司安全生产极为不利。据此,数字安全管理部门把各方面上报的隐患缺陷经现场核实、将重大隐患缺陷统一进行编号,并在安全月报上反映。对各部门整改的情况,由安全运检部现场核实并结束此缺陷隐患的闭环管理,整改内容时间用数据反映。对未及时整改的仍挂在每月安全月报上,汇总转发给公司领导和各部门负责人。通过数字化在重大安全隐患、缺陷中的运用,国网公司重大安全隐患、缺陷基本能及时整改和消缺。

1.2 规范 “两票”执行

在 “ 两票” 管理工作中, 总有个别班组在两票使用过程中存在不用票、少用票的现象,特别是在日常抢修、装表接电、仪表校验、基建工程工作中,这种现象较为普遍。针对这一情况,企业应用数字化管理的措施有:公司通过月报和数字化理念相结合,每月把“两票”执行数量放在月报上发给相关部门,由此公司“两票”执行情况明显好转,数量大大增加。2013年2月份,某供电公司工作票为190张,操作票为285张,而8月份,该公司工作票为1251张,操作票为653张。同时,公司安全运检部对班组两票的使用情况进行检查,将班组两票的合格率用数字公布出来,对工作负责人两票的正确使用进行嘉奖。

1.3 提高安全督察效果

基层电力企业按照国家电网公司“到岗到位”制度,每周下发公司“到岗到位”表,用数字说明各部门每周的工作现场时间,施工班组及到岗到位人员名单。并在每月安全月报上反映各部门工作现场的数量、到岗到位情况和安全督察次数,通过用数字公布的形势可以杜绝无票工作现象的发生,可以提高施工现场安全督察的次数,大大提高了施工现场的安全系数。

1.4 有助于管理外包队伍

2 0 1 2 年以来, 由于电力公司运行模式的调整,外包队伍进入供电企业施工的现象越来越多,如何加强外包队伍管理是当前供电企业的一项重要工作。2012年在外包队伍管理中,用数字列表式管理,对外包队伍数量、安全资质、两证情况、安规考试、车辆情况等全部用数字列表方式的列出,可以很清晰的了解外包队伍的整体情况,便于统计和管理,可以有效地管理好外包队伍,确保外包队伍施工安全。

1.5 加强各部门考核

在以往公司安全考核中,只对违章部门班组人员进行安全考核,不足以引起部门领导的重视。目前,供电企业已经把数字引入到部门考核中,每月对整个部门所发生的违章行为、违纪现象及安全管理不到位进行扣分,对部门人员发现的缺陷隐患进行加分,部门分数进行累计,这促进部门负责人积极加入到本部门安全管理工作中来,由以住的安全管理是安监部门的事,到现在的各部门和安监部一起抓安全管理,达到齐抓共管的良好态状。

2 数字化安全管理工作的关键

据以上分析以及现场实践经验,做好数字化安全管理工作关键的地方有三点:

一是实是求事,任何数据力求真实,不能造假夸大其词。在设备线路隐患方面,一定要现场核实,不能随意判定。以线路集中巡视为例,实际执行中必须严格按照规程“定人、定线(段)、定周期”的要求,以每月一次的周期进行巡视,每条线路的巡视周期必须相对固定,最大误差不得超过5天;在对长线路的巡视上,必须严格在规定的时间内巡视完,不得超过7天。在巡视过程中,由于线路存在分段巡视,会出现巡视人员的不同步,因此为界定职责,各段巡视记录必须准确、真实。每一组巡视人员与对应的数字标号一一对应,防止出错,并有本人签名。每天巡视结束后,需由小组负责人核实数据并整理好,交班长签字后交资料员保管。以上就是实事求是、真实数据在数字化安全管理中的典型应用,也是做好管理的关键之一。

二是公平公正, 以事实为依据,在部门考核中,要以理服人,以数字、事实为依据,奖罚分明,才能得到大家的认可。仍以线路巡视工作为例,每天的巡视记录要求由各巡视小组回单位后自行输入,这就必须要求巡视人员做到不弄虚作假,巡视中所记录的任何数据都要真实地上报,与巡视记录表一致。在日后的查询如MIS系统中,各资料人员、部门班长以及运行专职人员应以上报记录的数据为依据,对现场巡视人员进行督查;发现巡视记录中有不正常之处时及时向工区反映。

三是及时更新,每月定期更新数字化管理的相关内容,下发到各部门,促动各部门员工共同做好安全管理工作,共同提高公司的安全管理,做到管理针对化。数字化安全管理的核心是数据,而数据的有效性很大程度上来自于其实时性,一组数字指标若是失去了其时效性,不能对当前某一问题作出帮助,也就谈不上数字化安全管理了。

3 结语